AdaptiveMobile: SMS-Sicherheitslücke betrifft keine anderen Smartphones

[Marc Freudenhammer]

Vor einigen Tagen äußerte sich Apple zu der von Hacker pod2g entdeckten Sicherheitslücke, die es ermöglicht, den wahren Absender einer SMS mittels der zusätzlichen Übermittlung einer Antwortadresse zu verschleiern. Apples Argument, dass es sich dabei nicht um ein exklusives iOS-Problem handelt, sondern SMS-Versand grundsätzlich mit Vorsicht zu genießen sei, wurde jetzt anscheinend widerlegt. In einem Test der Sicherheitsexperten von AdaptiveMobile (via Cnet) wurden die gängigen mobilen Betriebssysteme, Android, Windows Mobile, BlackBerry und Symbian, mit den manipulierten SMS konfrontiert. Das Ergebnis: Bei den meisten Systemen wurde die Antwortadresse entweder ignoriert oder beide Adressen – die vom Originalversender und die manipulierte – angezeigt. Nur beim iPhone wäre eine derartige Täuschung möglich. Auf eine aussagekräftige Stellungnahme von Apple warte man bislang noch, heißt es in dem Artikel von Cnet.[PRBREAK][/PRBREAK]


Via Cnet

 

[flash77]

Na hoffentlich behebt man das bald... ich würd aber gern wissen wie das geht... da könnt ich ein paar Kumpels verarschen

 

[Amnesiace]

Bei den meisten Systemen wurde die Antwortadresse entweder ignoriert oder beide Adressen – die vom Originalversender und die manipulierte – angezeigt. Nur beim iPhone wäre eine derartige Täuschung möglich.

"Bei den meisten" heißt doch "nicht bei allen". Dann stimmt "nur beim iPhone" nicht.

 

[Pascolo]

Das stimmt schon, denn das iPhone soll ja gerade unter den Testgeräten die Ausnahme sein. Marc Freudenhammer hat schon recht wenn er sagt: "Bei den meisten Systemen [...]". Das bedeutet, dass es einen Rest gibt, bei dem das Problem auftritt und dieser Rest bildet in diesem Fall das iPhone.

...wenn dieser Sicherheitsexperte denn Recht behält.

 

[joey23]

Die Caller ID zu faken ist keine große Sache. Und darauf fallen 98% aller Handys rein.

 

[frostdiver]

och apple

ist das wieder so ne simplizität vor sicherheit geschichte?
ich hätte gern beide absender, sofern abweichend voneinander.
und das problem ist ja nicht neu.
hatte vor ca. 10 jahren so eine absender-spoof-"app" auf nem nokia.
da kann man schonmal irgendwann drüber nachdenken, dass es da ein missbrauchspotential gibt.

 

[Scotch]

Die Caller ID zu faken ist keine große Sache. Und darauf fallen 98% aller Handys rein.

Doch, das ist bei SMS eine grosse Sache und wie bereits im ersten thread zum Thema ausführlich erläutert ist das Problem die Applikation im iPhone mit der die SMS angezeigt und "interpretiert" wird. Die Lücke wird ausgenutzt, in dem in der SMS Inhalte enthalten sind, die von der SMS-Applikation fehlerhaft interpretiert werden. 98% der Handys zeigen einfach nur eine unsinnge SMS an.

 

[eichyl]

Die Caller ID zu faken ist keine große Sache. Und darauf fallen 98% aller Handys rein.

Also entweder Du beziehst Dich auf irgendwas anderes als den hier beschriebenen Bug oder Du hast den Artikel nicht gelesen...Es wird Doch eindeutig gezeigt, dass der genannte Fehler NUR beim iPhone auftritt, wie sollen da jetzt 98% der Handys drauf reinfallen?

 

[foaly]

Na hoffentlich behebt man das bald... ich würd aber gern wissen wie das geht... da könnt ich ein paar Kumpels verarschen

Das ganze geht total simpel. Hat schonmal jemand von euch eine SMS über ein Gateway verschickt (smskaufen.de usw?). Da kann man (bzw. muss man) bei jedem SMS-Versand per API eine Absender-Adresse eingeben. Das kann die eigene Handynummer oder irgendeine andere sein. Ich habe es bei meinem Handy probiert und siehe da, ich kann mich ausgeben als wer ich will ...
Also scheint nur die Sache mit dem Antwort-Adresse ein iOS-spezifisches Problem zu sein.